2021 年,连钓鱼网站都能上 https 了,是不是该把 EV 证书的网站绿回来?

2021-03-16 18:53:35 +08:00
 Osk
如题。

把 EV 证书变灰简直是吃饱了撑的。



顺便一提另一个不爽的设定:
http 页面能提供自动完成和记住密码功能,给整上个自签证书变 https 后,不能记住密码了。。。
真的是不知道该说啥,虽然能理解可能存在风险,但这风险能比 http 更大?
1400 次点击
所在节点    问与答
5 条回复
learningman
2021-03-16 21:17:10 +08:00
http 页面是可能被攻击
https 自签证书基本就等于认为已经被 MITM 了,正确的使用方法是你自己签发证书后装自己的 CA
jim9606
2021-03-16 22:32:28 +08:00
按 Google 的说法是 EV 的绿标对反钓鱼意义不大。

正面理解就是群众未必知道 EV 绿标显示的公司和品牌的关系,例如 Steam 和 Valve 的关系。

负面理解 Google 是为了商业利益推它的 SafeBrowsing 服务,到国内就是网站安全标识,可以收保护费的那种。

要真按 HTTPS 定安全性,一大票 gov 网站都是不安全的。

真要明白这些东西的区别的,也不需要依赖那个绿标。

另外目前浏览器认为 HTTPS 出现错误时的危险性是高于不加密的 HTTP 的,所以有些不加密能用的功能反而 HTTPS 出错后不能用。
wanguorui123
2021-03-17 11:34:08 +08:00
HTTPS 只能防止中间人攻击,其他的防不了
v2tudnew
2021-03-17 11:50:24 +08:00
@jim9606 #2 作为用户,我觉得不需要理解这些,只要域名没错(书签),就能保证安全的话就够了,就是不知道各种 CA 会不会乱签证书。
还开着 80 端口的,说明也没拿用户隐私当回事,那也没辙。
jim9606
2021-03-17 16:36:46 +08:00
@v2tudnew 需要依赖绿标的用户不会认域名。
由于 Certificate Transparently 日志政策,CA 乱签证书这事还是有防范方法的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/762230

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX